shaytan Опубликовано 17 апреля, 2014 · Жалоба Включил режим CGN, nat ftp заработал. Странно все это на мой взгляд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wonder Опубликовано 29 апреля, 2014 · Жалоба Коллеги, посоветуйте актуальный IOS для 1002го. NAT не используем, нужен только ISG функционал+стандартные роутинг фичи. пока остановился на adventerprisek9.03.10.01.S.153-3.S1. Кстати почему железка прячет команду show sss session detailed? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KonstantinC Опубликовано 6 мая, 2014 · Жалоба Вопрос На свежих прошивках ipoe + nat на asr1k с RP2 работает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skinner Опубликовано 8 мая, 2014 · Жалоба Вопрос На свежих прошивках ipoe + nat на asr1k с RP2 работает? да и уже давно Коллеги, посоветуйте актуальный IOS для 1002го. NAT не используем, нужен только ISG функционал+стандартные роутинг фичи. пока остановился на adventerprisek9.03.10.01.S.153-3.S1. Кстати почему железка прячет команду show sss session detailed? Вот на этом иосе и остановитесь , вполне себе годный по нашему опыту. Команду прячет потому что вместо sss теперь используется subscriber типа новый формат Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KonstantinC Опубликовано 13 мая, 2014 (изменено) · Жалоба да и уже давно Ух ты. Интересно, какая будет производительность у ASR 1k с ESP40 Вытянет ли она 50000 ipoe сессий +nat 20Гбит? Изменено 13 мая, 2014 пользователем KonstantinC Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skinner Опубликовано 14 мая, 2014 · Жалоба в одной коробке мне кажется не поместится, очень уж объём ната приличный, скорей всего упрётся в память esp 100 думаю прожевал бы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Archville Опубликовано 14 мая, 2014 · Жалоба Коллеги, а вы вот этот софт не пробовали? Судя по описанию там много чего поправили. asr1000rp2-adventerprisek9.03.12.00.S.154-2.S-std.bin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 14 мая, 2014 (изменено) · Жалоба Коллеги, а вы вот этот софт не пробовали? Судя по описанию там много чего поправили. asr1000rp2-adventerprisek9.03.12.00.S.154-2.S-std.bin System image file is "bootflash:asr1000rp2-adventerprisek9.03.12.00.S.154-2.S-std.bin" уже почти 6 недель аптайма.. чистое исг без ната.. Изменено 14 мая, 2014 пользователем zhenya` Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlevik Опубликовано 15 мая, 2014 · Жалоба скорей всего упрётся в память Быстрее упрется в количество трансляций. Для ESP40 заявлено 2M в режиме native и 4M в CGN, для ESP100 6M и 12M соответственно. 15K хомячков с ограничением в 512 трансляций на адрес в ЧНН выжирают до 1,3M трансляций, если ограничения убрать, выжрут и 2M. Выходит, что для ESP40 в режиме CGN предел для NAT 40-45K пользователей. Для 50K, действительно, надо уже ESP100. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 15 мая, 2014 · Жалоба скорей всего упрётся в память Быстрее упрется в количество трансляций. Для ESP40 заявлено 2M в режиме native и 4M в CGN, для ESP100 6M и 12M соответственно. 15K хомячков с ограничением в 512 трансляций на адрес в ЧНН выжирают до 1,3M трансляций, если ограничения убрать, выжрут и 2M. Выходит, что для ESP40 в режиме CGN предел для NAT 40-45K пользователей. Для 50K, действительно, надо уже ESP100. а трансляции не в памяти чтоли ? ) в релиз нотах написано, что память для трафик классов сессий исг используют туже память что и нат ( поэтому в случае исг + нат на одном боксе scalability ниже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaytan Опубликовано 23 октября, 2014 · Жалоба что-то на 3.11.1 прошивке FTP не работает через NAT. ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 1000 ip nat translation timeout 300 ip nat translation tcp-timeout 180 ip nat translation udp-timeout 180 ip nat translation syn-timeout 180 ip nat translation dns-timeout 120 ip nat translation icmp-timeout 120 ip nat translation max-entries 2000000 ip nat translation max-entries all-host 500 ip nat pool 1300 X.X.X.1 X.X.X.2 prefix-length 30 ip nat pool 1301 X.X.X.5 X.X.X.6 prefix-length 30 ip nat pool 1302 X.X.X.9 X.X.X.10 prefix-length 30 ip nat inside source list 1300 pool 1300 overload ip nat inside source list 1301 pool 1301 overload ip nat inside source list 1302 pool 1302 overload У кого-нибудь работает? В чем еще может быть ошибка в нстройках? Вчера пришлось обновится с 3.10.1 на 3.13.0 (ESP крашился по несколько раз в день) Сломался nat ftp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaytan Опубликовано 23 октября, 2014 · Жалоба что-то на 3.11.1 прошивке FTP не работает через NAT. ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 1000 ip nat translation timeout 300 ip nat translation tcp-timeout 180 ip nat translation udp-timeout 180 ip nat translation syn-timeout 180 ip nat translation dns-timeout 120 ip nat translation icmp-timeout 120 ip nat translation max-entries 2000000 ip nat translation max-entries all-host 500 ip nat pool 1300 X.X.X.1 X.X.X.2 prefix-length 30 ip nat pool 1301 X.X.X.5 X.X.X.6 prefix-length 30 ip nat pool 1302 X.X.X.9 X.X.X.10 prefix-length 30 ip nat inside source list 1300 pool 1300 overload ip nat inside source list 1301 pool 1301 overload ip nat inside source list 1302 pool 1302 overload У кого-нибудь работает? В чем еще может быть ошибка в нстройках? Вчера пришлось обновится с 3.10.1 на 3.13.0 (ESP крашился по несколько раз в день) Сломался nat ftp. после отключения alg nat ftp (no ip nat service ftp) пассивный ftp режим ожил, активный естественно нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h2kb Опубликовано 17 ноября, 2014 (изменено) · Жалоба Добра всем. А у кого-нибудь работает ISG+NAT+PAP на 03.10.02.S.153-3.S2? На данный момент настроено так: ip nat settings mode cgn no ip nat settings support mapping outside ip nat translation timeout 14400 ip nat translation tcp-timeout 3600 ip nat translation pptp-timeout 7200 ip nat translation udp-timeout 3600 ip nat translation max-entries all-host 1000 ip nat pool White_pool_for_NAT xx.xx.xx.xx xx.xx.xx.xx netmask xx.xx.xx.xx ip nat inside source list 100 pool White_pool_for_NAT overload После включения PAP (ip nat settings pap limit 60), активные трансляции упали в 0 и не поднялись. (If you change the Network Address Translation (NAT) configuration mode to paired-address-pooling configuration mode and vice versa, all existing NAT sessions are removed.) Может конечно шёл процесс перераспределения ресурсов, но я не рискнул ждать дальше, вырубил. P.S. ASR1k6 RP2 Изменено 17 ноября, 2014 пользователем h2kb Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dima89 Опубликовано 28 мая, 2015 · Жалоба апну тему. есть asr1001, ios 03.13.01.S.154-3.S1 такой нат: ip nat pool NAT1 1.1.1.0 1.1.1.3 prefix-length 30 ip nat inside source list NAT pool NAT1 overload всё время занят только 1 адрес из пула, можно ли настроить так, чтобы для каждого соединения адрес выбирался рандомно из пула? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 28 мая, 2015 · Жалоба Просьба к владельцам ASR1k, стоит на этой железяке запускать CGNAT-PAP+IPOE(l2/l3)+ISG. Какие проблемы ожидают? Креши? Не работающий NAT? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
infery Опубликовано 28 мая, 2015 · Жалоба asr1000rp1-advipservicesk9.03.12.01.S.154-2.S1-std.bin ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 30 ip nat translation timeout 300 ip nat translation tcp-timeout 180 ip nat translation udp-timeout 180 ip nat translation syn-timeout 180 ip nat translation dns-timeout 120 ip nat translation icmp-timeout 120 no ip nat service ftp IPoE l3 ISG работает без нареканий Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dima89 Опубликовано 28 мая, 2015 · Жалоба апну тему. есть asr1001, ios 03.13.01.S.154-3.S1 такой нат: ip nat pool NAT1 1.1.1.0 1.1.1.3 prefix-length 30 ip nat inside source list NAT pool NAT1 overload всё время занят только 1 адрес из пула, можно ли настроить так, чтобы для каждого соединения адрес выбирался рандомно из пула? кстати, ip nat pool type rotary может помочь? потестил, но как-то не заметил разницы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 28 мая, 2015 · Жалоба cgn + pap вам поможет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[GP]Villi Опубликовано 28 июля, 2015 · Жалоба А у кого нибудь работает PAP без CGN? Тестил на asr1001-universalk9.03.10.04.S.153-3.S4-ext.bin и такое ощущение что баг bug#CSCui91537 PAP not recycling GA when previous LA to GA mappings have timed out. никуда не делся. msk.m9#show platform hardware qfp active feature nat datapath pap laddrpergaddr gaddr x.x.151.192 vrf 0 laddr-per-gaddr 250 mapid 1 gaddr x.x.151.193 vrf 0 laddr-per-gaddr 13 mapid 1 gaddr x.x.151.194 vrf 0 laddr-per-gaddr 19 mapid 1 gaddr x.x.151.196 vrf 0 laddr-per-gaddr 24 mapid 1 gaddr x.x.151.197 vrf 0 laddr-per-gaddr 84 mapid 1 gaddr x.x.151.198 vrf 0 laddr-per-gaddr 48 mapid 1 192 адрес самый последний используется в пуле, а дальше просто не создаются трансляции. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 28 июля, 2015 · Жалоба [GP]Villi CSCup25858? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikezzzz Опубликовано 11 августа, 2015 · Жалоба infery добрый день, с мая казусов не приключилось с данным иосом? планируем обновиться до него, используем PPPoE,ISG, планируем CGN добавить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
infery Опубликовано 11 августа, 2015 · Жалоба infery добрый день, с мая казусов не приключилось с данным иосом? планируем обновиться до него, используем PPPoE,ISG, планируем CGN добавить Все работает, кушать не просит :) Был косяк, но непонятно чей - переключил на полном ходу в классический режим ната, а через минуту снова в CGN, в результате как я понял ребутнулся ESP, то ли какой то процесс. Но все нормализовалось в течение 5 минут без вмешательства. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikezzzz Опубликовано 23 августа, 2015 · Жалоба infery а у нас обрыдался на второй день ;( Izhevsk51# show log | i TCAM000578: Aug 23 09:01:09: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp: TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-class:232799399.3. Use SW TCAM instead.000579: Aug 23 09:01:10: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp: TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-class:1127855349.3. Use SW TCAM instead.000597: Aug 23 10:40:09: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp: TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:1717468369. Use SW TCAM instead.000598: Aug 23 10:45:48: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp: TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:2176292814. Use SW TCAM instead.000599: Aug 23 10:46:42: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp: TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:147832863. Use SW TCAM instead.000600: Aug 23 10:46:54: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp: TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:525750945. Use SW TCAM instead.000601: Aug 23 10:47:19: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp: TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:1786196579. Use SW TCAM instead.000602: Aug 23 10:47:33: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp: TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:2288501193. Use SW TCAM instead.000605: Aug 23 10:50:07: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp: TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:1717468369. Use SW TCAM instead.000606: Aug 23 10:51:49: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp: TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:1775569998. Use SW TCAM instead.000607: Aug 23 10:52:59: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp: TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:120120571. Use SW TCAM instead.000608: Aug 23 10:58:34: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp: TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:915788806. Use SW TCAM instead.000609: Aug 23 10:58:44: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp: TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:425590285. Use SW TCAM instead.000610: Aug 23 10:58:51: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp: TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:1775569998. Use SW TCAM instead.000611: Aug 23 10:58:52: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp: TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:1020269051. Use SW TCAM instead. сперва кусками class-group перестали помещаться в TCAM, потом целиком уже пошло, и это всего 3500 сессий PPPoE (полисеров у нас конечно многовато) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikezzzz Опубликовано 2 сентября, 2015 · Жалоба а вот и дескрипшен к сообщению на одном из цисколайв слайдов, мож кому пригодится TCAM Issue • Problem Description: In ASR 1000 IPsec/FW/NAT deployment, user may see following message (post XE3.10): %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp: TCAM limit exceeded: HW TCAM cannot hold Class group ipsec-cg:135. Use SW TCAM instead. • Error Message Explanation: 1. ASR1000 uses SW TCAM when there is not enough free space in HW TCAM for given policy. 2. SW TCAM is implemented in QFP DRAM. 3. There is some forwarding performance hit • Typical Cause – deny entries in ACL, route-map 1. Classification engine in the TCAM can only represent permit. 2. System converts the DENY entries into PERMIT ones using cross product 3. This recursive nature cause the required number of entries to “explode 63 BRKARC-2019 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public TCAM Issue – cont’d • Is my policy run in HW TCAM or SW TCAM? show platform hardware qfp active classification feature-manager class-group tcam <acl | nat | ..> name <name of ACL/policy> brief • Best Practices: 1. Modify the ACLs to use multiple specific permit statement, and try to reduce or eliminate the explicit use of deny statement 2. Always there should be unused TCAM entries which are = or > the size of biggest ACL on the router. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiRider Опубликовано 18 сентября, 2015 · Жалоба mikezzzz, может стоит IOS обновить хотя бы до asr1000rp1-adventerprise.03.13.01.S.154-3.S1-ext.bin? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...